Bitte Hijack auslesen!!! Danke!

GS_Fraenk · 01.10.2004, 12:17

Hallo, bin neu hier und werde einen mail-wurm nicht los.
spy-bot und lavasoft-ad-aware habe ich durch, finden nix mehr.
mit dem BHO-Demon habe ich nur adobe gefunden, und das ist ja ok.

Logfile of HijackThis v1.98.2
Scan saved at 13:07:53, on 01.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\ibmpmsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\System32\QCONSVC.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\fxssvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\ThinkPad\ConnectUtilities\QCTRAY.EXE
C:\Programme\ThinkPad\ConnectUtilities\QCWLICON.EXE
C:\WINDOWS\System32\RunDll32.exe
C:\PROGRA~1\ThinkPad\UTILIT~1\TP98TRAY.EXE
C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
C:\PROGRA~1\ThinkPad\UTILIT~1\NPDTray.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Office51\SOINTGR.EXE
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Programme\ThinkPad\PkgMgr\HOTKEY\TPONSCR.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe
C:\Programme\ThinkPad\PkgMgr\HOTKEY_1\TpScrex.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Programme\BHODemon 2\BHODemon.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\ICQ\Icq.exe
C:\Dokumente und Einstellungen\Patzwahl\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis_198.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.versicherungsmakler-patzwahl.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = ;<local>
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [QCTRAY] C:\Programme\ThinkPad\ConnectUtilities\QCTRAY.EXE
O4 - HKLM\..\Run: [QCWLICON] C:\Programme\ThinkPad\ConnectUtilities\QCWLICON.EXE
O4 - HKLM\..\Run: [BMMGAG] RunDll32 C:\PROGRA~1\ThinkPad\UTILIT~1\pwrmonit.dll,StartPwrMonitor
O4 - HKLM\..\Run: [TPTRAY] C:\PROGRA~1\ThinkPad\UTILIT~1\TP98TRAY.EXE
O4 - HKLM\..\Run: [TP4EX] tp4ex.exe
O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
O4 - HKLM\..\Run: [NPDTray] C:\PROGRA~1\ThinkPad\UTILIT~1\NPDTray.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [StorageGuard] "C:\Programme\VERITAS Software\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [SO5 Integrator Pass Two] C:\Office51\SOINTGR.EXE
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [CamMonitor] C:\Programme\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp3\winampa.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [bawindo] C:\WINDOWS\System32\bawindo.exe
O4 - Startup: BHODemon 2.0.lnk = C:\Programme\BHODemon 2\BHODemon.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O17 - HKLM\System\CCS\Services\Tcpip\..\{4110F855-EAE6-460D-96C5-461B44044A58}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{EFEAB464-DBD8-4D08-ABCB-5BD0E4418A46}: NameServer = 217.237.150.33,194.25.2.129

Vielen Dank für Eure Info!!!

Grüße ein frustrierter Frank

Ach so: ich nutze XP PRO.

Cidre · 01.10.2004, 12:32

Hallo,

überprüfe diese Datei bei http://virusscan.jotti.org/de und poste das Ergebnis: C:\WINDOWS\System32\bawindo.exe

Danach das eScan AV Toolkit (mwav.exe) herunterladen, die Datei in den Ordner "c:\Bases" (wichtig !) entpacken und danach die "kavupd.exe" (Update) ausführen.
Abgesicherter Modus und den Scanner mit der "mwavscan.com" starten. Alle Häkchen setzen und "Scan clean" klicken.
http://www.mwti.net/antivirus/free_utilities.asp

Poste danach die Virus Log Information des eScan, sowie ein neues HJT Log-File.

GS_Fraenk · 01.10.2004, 12:43

Hi,
danke für die prompte Hilfe.

Hier das Ergebnis:

Service load:
0% 100%
File: bawindo.exe
Status:
INFECTED/MALWARE
Packers detected:
None

AntiVir
Worm/Bagle.AR (2.36 seconds taken)
Avast
Win32:Beagle-AO (4.62 seconds taken)
BitDefender
Win32.Bagle.AU@mm (4.94 seconds taken)
ClamAV
Worm.Bagle.AP (14.06 seconds taken)
Dr.Web
Win32.HLLM.Beagle.18688 (8.96 seconds taken)
F-Prot Antivirus
W32/Bagle.AM@mm (0.73 seconds taken)
Kaspersky Anti-Virus
I-Worm.Bagle.as (7.91 seconds taken)
mks_vir
Worm.Beagle.Ar (2.77 seconds taken)
NOD32
Win32/Bagle.AQ (4.47 seconds taken)
Norman Virus Control
Bagle.AO@mm (2.12 seconds taken)

Könnte mein Problem sein!
Wie mach ich das Vieh jetzt unschädlich?

Gruß Frank

Cidre · 01.10.2004, 13:07

Indem du das ausführst und die C:\WINDOWS\System32\bawindo.exe manuell löscht!

Zitat:

Danach das eScan AV Toolkit (mwav.exe) herunterladen, die Datei in den Ordner "c:\Bases" (wichtig !) entpacken und danach die "kavupd.exe" (Update) ausführen.
Abgesicherter Modus und den Scanner mit der "mwavscan.com" starten. Alle Häkchen setzen und "Scan clean" klicken.
http://www.mwti.net/antivirus/free_utilities.asp

Poste danach die Virus Log Information des eScan, sowie ein neues HJT Log-File.

GS_Fraenk · 01.10.2004, 13:55

Hi,

danke nochmal für die Hilfe!!!

habe mittels folgendem link dem "bagle" den Garaus gemacht:
http://vil.nai.com/vil/stinger/

Stinger hat 400 !!!! .exe auf meiner Platte gefunden und gekillt!!

Jetzt ist hoffentlich Ruhe.

Gruß Frank

PS Toll, daß es dieses Forum gibt!!

Cidre · 01.10.2004, 14:09

Ich denke nicht, daß das dein einziges Problem war. Warum führst du also den eScan nicht aus?
Es explodiert weder der Monitor noch beißt der Link.

01.10.2004, 14:09	#6
Cidre Administrator, a.D.	Bitte Hijack auslesen!!! Danke! Ich denke nicht, daß das dein einziges Problem war. Warum führst du also den eScan nicht aus? Es explodiert weder der Monitor noch beißt der Link. __________________ --> Bitte Hijack auslesen!!! Danke!

Bitte Hijack auslesen!!! Danke!

Log-Analyse und Auswertung: Bitte Hijack auslesen!!! Danke!